Del via


FileProfile()

Gælder for:

  • Microsoft Defender XDR

Funktionen FileProfile() er en berigelsesfunktion i avanceret jagt , der føjer følgende data til filer, der blev fundet af forespørgslen.

Kolonne Datatype Beskrivelse
SHA1 string SHA-1 for den fil, som den registrerede handling blev anvendt på
SHA256 string SHA-256 af den fil, som den registrerede handling blev anvendt på
MD5 string MD5-hash for den fil, som den registrerede handling blev anvendt på
FileSize int Filens størrelse i byte
GlobalPrevalence int Antal forekomster af enheden, der er observeret af Microsoft globalt
GlobalFirstSeen datetime Dato og klokkeslæt for første gang, hvor enheden blev observeret globalt af Microsoft
GlobalLastSeen datetime Den dato og det klokkeslæt, hvor enheden sidst blev observeret af Microsoft globalt
Signer string Oplysninger om underskriveren af filen
Issuer string Oplysninger om det udstedende nøglecenter
SignerHash string Entydig hashværdi, der identificerer underskriveren
IsCertificateValid boolean Om det certifikat, der blev brugt til at signere filen, er gyldigt
IsRootSignerMicrosoft boolean Angiver, om underskriveren af rodcertifikatet er Microsoft, og om filen er indbygget i Windows OS
SignatureState string Tilstand for filsignatur: SignedValid – filen er signeret med en gyldig signatur, SignedInvalid - filen er signeret, men certifikatet er ugyldigt, Usigneret - filen er ikke signeret, Ukendt - oplysninger om filen kan ikke hentes
IsExecutable boolean Om filen er en PE-fil (Portable Executable)
ThreatName string Registreringsnavn for malware eller andre trusler, der findes
Publisher string Navnet på den organisation, der publicerede filen
SoftwareName string Navnet på softwareproduktet
ProfileAvailability string Angiver tilgængelighedsstatus for profildataene for filen: Tilgængelig – profilen blev forespurgte, og fildataene blev returneret, Manglende - profilen blev forespurgte, men der blev ikke fundet nogen filoplysninger, Fejl - fejl under forespørgsel om filoplysningerne, eller den maksimale tildelte tid blev overskredet, før forespørgslen kunne fuldføres, eller en tom værdi - hvis fil-id'et er ugyldigt, eller det maksimale antal filer blev nået

Syntaks

invoke FileProfile(x,y)

Argumenter

  • x – den fil-id-kolonne, der skal bruges: SHA1, SHA256, InitiatingProcessSHA1eller InitiatingProcessSHA256; funktionen bruger SHA1 , hvis den ikke er angivet
  • y – grænse til antallet af poster, der skal beriges, 1-1000; funktionen bruger 100, hvis den ikke er angivet

Tip

Berigelsesfunktioner viser kun supplerende oplysninger, når de er tilgængelige. Tilgængeligheden af oplysninger er forskellig og afhænger af mange faktorer. Sørg for at overveje dette, når du bruger FileProfile() i dine forespørgsler eller ved oprettelse af brugerdefinerede registreringer. Vi anbefaler, at du bruger funktionen FileProfile() med SHA1 for at opnå de bedste resultater.

Eksempler

Projektér kun SHA1-kolonnen, og gør den bedre

DeviceFileEvents
| where isnotempty(SHA1) and Timestamp > ago(1d)
| take 10
| project SHA1
| invoke FileProfile()

Enrich de første 500 poster og liste filer med lav prævalens

DeviceFileEvents
| where ActionType == "FileCreated" and Timestamp > ago(1d)
| project CreatedOn = Timestamp, FileName, FolderPath, SHA1
| invoke FileProfile("SHA1", 500) 
| where GlobalPrevalence < 15

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.